SecCourse06安全基础(三).ppt

《SecCourse06安全基础(三).ppt》由会员分享，可在线阅读，更多相关《SecCourse06安全基础(三).ppt（75页珍藏版）》请在三一办公上搜索。

1、网络与信息安全安全基础(三),潘爱民，北京大学计算机研究所http:/,内容,IPSec协议密钥管理PKI,IATF(信息保障技术框架)的范围,Local,Computing,Environment,Local,Computing,Environment,Enclave Boundaries,Networks&Infrastructures,Telecommunications Service,Providers(TSPs),Public Telephone,Network,Connections to Other Enclaves,Classified Enclave,Private Enc

2、lave,Public Enclave,Remote,Users,Remote,Users,Internet Service Provider,Remote,Connections,Via TSPs,Supporting Infrastructures:,1 Detect&Respond,2 Key Management Infrastructure/Public Key Infrastructure,Facility,Boundary Protection,(Guard,Firewall,etc.),Remote Access Protection,(Communications Serve

3、rs,Encryption,etc.),Enclave Boundaries,Local,Computing,Environment,Remote,Users,Remote,Users,Remote,Users,PBX,IPSec,网络层安全性需求：真实性(认证)、完整性和保密性好处：对于应用层透明可以针对链路，也可以针对最终用户可以实现在防火墙或者路由器上弥补IPv4在协议设计时缺乏安全性考虑的不足IPSec是IETF定义的一组安全IP协议集它在IP包这一级为IP通讯业务提供保护IPv4中是一项可选支持的服务，在IPv6中是一项必须支持的服务本课程只讨论IPv4的情形,IPSec的内容,协议

4、部分，分为AH:Authentication HeaderESP:Encapsulating Security Payload密钥管理(Key Management)SA(Security Association)ISAKMP定义了密钥管理框架IKE是目前正式确定用于IPSec的密钥交换协议,SA(Security Association),基本概念是发送者和接收者两个IPSec系统之间的一个简单的单向逻辑连接，是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合因为SA是单个方向的，所以，对于一个双向通信，则需要两个SASA与IPSec系统中实现的两个数据库有关安全策略数据库(SPD

5、)安全关联数据库(SAD)每个SA通过三个参数来标识SPI(Security Parameters Index)目标地址IP安全协议标识,SPD&SAD,SPD对于通过的流量的策略三种选择：discard,bypass IPsec,apply Ipsec管理界面条目的粒度不必很细，因为作用在IP包上SAD，通常用到以下一些域Sequence Number CounterSequence Counter OverflowAnti-Replay WindowAH Authentication algorithm,keys,etcESP Encryption algorithm,keys,IV mo

6、de,IV,etcESP authentication algorithm,keys,etcLifetime of this Security AssociationIPsec protocol modePath MTU,AH(Authentication Header),为IP包提供数据完整性和认证功能利用MAC码实现认证，双方必须共享一个密钥认证算法由SA指定认证的范围：整个包两种认证模式：传输模式：不改变IP地址，插入一个AH隧道模式：生成一个新的IP头，把AH和原来的整个IP包放到新IP包的净荷数据中,AH两种模式示意图,IPSec Authentication Header,Next

7、 Header:下一个头的类型Payload Length：AH的长度(32位字为单位)SPI：用来标识SASequence Number：用来避免重放攻击Authentication Data：可变长度的域，包含针对这个包的ICV或者MAC,AH处理过程,AH定位在IP头之后，在上层协议数据之前认证算法计算ICV或者MAC对于发出去的包(Outbound Packet)的处理，构造AH查找SA产生序列号计算ICV(Integrity Check Value)内容包括：IP头中部分域、AH自身、上层协议数据分片,AH处理过程(续),对于接收到的包(Inbound Packet)的处理分片装配查

8、找SA依据：目标IP地址、AH协议、SPI检查序列号(可选，针对重放攻击)使用一个滑动窗口来检查序列号的重放ICV检查,ESP(Encapsulating Security Payload),提供保密功能，也可以提供认证服务将需要保密的用户数据进行加密后再封装到一个新的IP包中，ESP只认证ESP头之后的信息加密算法和认证算法由SA指定也有两种模式：传输模式和隧道模式,ESP两种模式示意图,经认证的数据,经加密的数据,(1)传输模式,IPSec ESP格式,0 8 16 24 32,Security Parameters Index(SPI),Sequence Number,Payload D

9、ata(variable),Authentication Data(variable),Padding(0-255 bytes),Pad Length Next Header,保密范围,认证范围,ESP处理过程,ESP头定位加密算法和认证算法由SA确定对于发出去的包(Outbound Packet)的处理查找SA加密封装必要的数据，放到payload data域中不同的模式，封装数据的范围不同增加必要的padding数据加密操作产生序列号计算ICV，注意，针对加密后的数据进行计算分片,ESP处理过程(续),对于接收到的包(Inbound Packet)的处理分片装配查找SA依据：目标IP地址、

10、ESP协议、SPI检查序列号(可选，针对重放攻击)使用一个滑动窗口来检查序列号的重放ICV检查解密根据SA中指定的算法和密钥、参数，对于被加密部分的数据进行解密去掉padding重构原始的IP包,AH和ESP的典型组合,这里upper指上层协议数据IP1指原来的IP头IP2指封装之后的IP头,Transport Tunnel-1.IP1AHupper 4.IP2AHIP1upper 2.IP1ESPupper 5.IP2ESPIP1upper 3.IP1AHESPupper,IPSec实现,实现形式与IP协议栈紧密集成要求访问IP协议栈的源代码既适用于主机模式，也适用于安全网关(BITS)Bu

11、mp-in-the-stack位于IP协议栈和网络驱动程序之间通常适用于主机模式BITW(Bump-in-the-wire)如果是在单独的主机上，类似于BITS情形如果一个BITW设备，通常是可IP寻址的,IPSec密钥管理,ISAKMP:Internet Security Association and Key Management ProtocolRFC 2408是一个针对认证和密钥交换的框架IKE:The Internet Key Exchange基于ISAKMP框架结合了Oakley和SKEME的部分密钥交换技术,ISAKMP,基本的需求商定SA确定身份，密钥交换与协议、算法、厂商都无

12、关框架结构针对身份认证和密钥交换的协商过程定义了基本的消息结构定义了各种消息类型和payload结构提供了几种缺省的密钥交换模型,ISAKMP消息结构,ISAKMP头部结构,ISAKMP的payload结构,各种payload,两阶段协商(Two phases of negotiation),The first phase,建立起ISAKMP SA双方(例如ISAKMP Servers)商定如何保护以后的通讯此SA将用于保护后面的protocol SA的协商过程The second phase,建立起针对其他安全协议的SA(比如，IPSec SA)这个阶段可以建立多个SA此SA将被相应的安全协

13、议用于保护数据或者消息的交换,两阶段协商的好处,对于简单的情形，两阶段协商带来了更多的通讯开销但是，它有以下一些好处第一阶段的开销可以分摊到多个第二阶段中所以，这允许多个SA建立在同样的ISAKMP SA基础上第一阶段商定的安全服务可以为第二阶段提供安全特性例如，第一阶段的ISAKMP SA提供的加密功能可以为第二阶段提供身份认证特性，从而使得第二阶段的交换更为简单两阶段分开，提供管理上的便利,回顾：Diffie-Hellman密钥交换,允许两个用户可以安全地交换一个秘密信息，用于后续的通讯过程算法的安全性依赖于计算离散对数的难度算法：双方选择素数q以及q的一个原根rA选择Xq,计算XA=rX

14、mod p,AB:XAB选择Yq,计算YB=rYmod p,BA:YBA计算:(YB)X(rY)XrXYmod pB计算:(XA)Y(rX)YrXYmod p双方获得一个共享密钥(rXYmod p)素数q以及q的原根r如何确定？,Cookie exchange,背景:Diffie-Hellman密钥交换算法面临的问题中间人攻击、重放攻击Clogging attackCookie exchange要求每一方在初始消息中发送一个伪随机数，即cookie，而另一方对此做出相应的应答Cookie的要求Cookie的值必须依赖于特定的参与方，即与参与方的某种标识关联除了产生cookie的这一方之外，其他

15、人都无法产生出可被他接受的cookie值，所以，产生和验证cookie时都会用到本地的秘密信息Cookie的产生和验证方法必须足够快速一个例子：对IP源和目标地址、源和目标端口，以及一个本地秘密值做一个hash算法的结果,ISAKMP的消息交换,ISAKMP定义了5种消息交换类型Base Exchange交换密钥，但是不提供身份保护Identity Protection Exchange交换密钥，也提供身份保护Authentication Only Exchange只有认证(对消息的认证)Aggressive Exchange只有三条消息，类似于base exchangeInformation

16、al Exchange传输信息，用于SA管理,IKE中几个概念,PFS:Perfect Forward Secrecy一旦一个密钥被泄漏，只会影响到被一个密钥保护的数据Phase同ISAKMP中的phaseGroupOakley定义的Diffie-Hellman密钥交换参数Mode来自Oakley中的定义指一个密钥交换过程四个modeMain Mode,Aggressive Mode用于phase 1Quick Mode用于phase 2New Group Mode用在phase 1之后，为将来的协商商定一个新的组,IKE中的组,IKE定义了四个组(Diffie Helman参数设定)768-

17、bit MODP group参数：q=2768-2 704-1+264*2638 pi+149686=21024-bit MODP group参数：q=21024-2960-1+264*2894 pi+129093=2EC2N group on GP2155EC2N group on GP2185,IKE中的密钥交换Main Mode,是ISAKMP的Identity Protection Exchange的一个实例I-R:SAR-I:SAI-R:KE;NONCER-I:KE;NONCEI-R:IDI;AUTH(加密传输)R-I:IDR;AUTH(加密传输)前两条消息商定策略接下来两条消息交换

18、密钥资料最后两条消息认证Diffie-Hellman Exchange用于phase 1,IKE中的密钥交换Aggressive Mode,是ISAKMP的Aggressive Exchange的一个实例I-R:SA;KE;NONCE;IDIR-I:SA;KE;NONCE;IDR;AUTHI-R:AUTH(加密传输)前两条消息商定策略，交换Diffie-Hellman公开的值，以及必要的辅助资料，和个人标识第二条消息也认证应答者第三条消息认证发起者用于phase 1,IKE Phase 1中的认证方案,IKE Phase 1 Authenticated With SignaturesPhase

19、 1 Authenticated With Public Key EncryptionPhase 1 Authenticated With a Pre-Shared Key,IKE中的密钥交换Quick Mode,在ISAKMP中没有对应的交换类型I-R:SA;NONCE;IDI,IDR,KE;HASH(1)R-I:SA;NONCE;IDI,IDR,KE;HASH(2)I-R:HASH(3)以上消息都是加密传输如果PFS不需要的话，则可以不传KE只用于第二阶段,IKE中的密钥交换New Group Mode,在ISAKMP中没有对应的交换类型I-R:SA;HASH(1)R-I:SA;HASH(

20、2)以上消息都是加密传输用于第一阶段之后,IPSec和IKE小结,IPSec在网络层上提供安全服务定义了两个协议AH和ESPIKE提供了密钥交换功能利用ISAKMP提供的框架、以及Oakley和SKEME的密钥交换协议的优点通过SA把两部分连接起来已经发展成为Internet标准一些困难IPSec太复杂协议复杂性，导致很难达到真正的安全性管理和配置复杂，使得安全性下降实现上的兼容性攻击：DOS，网络层之下的协议、之上的协议的弱点还在进一步完善,IPSec实现,一些网络设备厂商比如CISCO等各种操作系统例如Linux、各种UNIX版本IPv6实现一些VPN软件包,Windows 2000和XP

21、下的IPSec,文章http:/,Windows 2000和XP下的IPSec管理工具,IPSec Security Policies snap-in for the MMC(secpol.msc),IPSecmon.exe,回顾：公钥技术,公钥技术建立在非对称密码算法基础上公钥和私钥对服务：保密性和认证,回顾：数字签名,两种数字签名方案,密钥对的用法,用于加密的密钥对,用公钥加密,用私钥解密,PKI之动机,公钥技术如何提供数字签名功能如何实现不可否认服务公钥和身份如何建立联系为什么要相信这是某个人的公钥公钥如何管理方案：引入证书(certificate)通过证书把公钥和身份关联起来,密钥生命

22、周期,PKI(Public Key Infrastructure),定义：用公钥原理和技术实施和提供安全服务的具有普适性的安全基础设施一个完整的PKI应该包括认证机构(CA)证书库证书注销密钥备份和恢复自动密钥更新密钥历史档案交叉认证支持不可否认时间戳客户端软件,PKI提供的基本服务,认证采用数字签名技术，签名作用于相应的数据之上被认证的数据 数据源认证服务用户发送的远程请求 身份认证服务远程设备生成的challenge信息 身份认证完整性PKI采用了两种技术数字签名：既可以是实体认证，也可以是数据完整性MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD5保密性用公钥分发随机密钥

23、，然后用随机密钥对数据加密不可否认发送方的不可否认 数字签名接受方的不可否认 收条+数字签名,PKI的应用考虑,在提供前面四项服务的同时，还必须考虑性能尽量少用公钥加解密操作，在实用中，往往结合对称密码技术，避免对大量数据作加解密操作除非需要数据来源认证才使用签名技术，否则就使用MAC或者HMAC实现数据完整性检验在线和离线模型签名的验证可以在离线情况下完成用公钥实现保密性也可以在离线情况下完成离线模式的问题：无法获得最新的证书注销信息证书中所支持算法的通用性在提供实际的服务之前，必须协商到一致的算法个体命名如何命名一个安全个体，取决于CA的命名登记管理工作,PKI基本组件,RA(Regist

24、ration Authority)把用户的身份和它的密钥绑定起来建立信任关系CA(Certificate Authority)发证证书库/目录保存证书，供公开访问,证书的注销机制,由于各种原因，证书需要被注销比如，私钥泄漏、密钥更换、用户变化PKI中注销的方法CA维护一个CRL(Certificate Revocation List)基于Web的CRL服务检查CRL的URL应该内嵌在用户的证书中可以提供安全途径(SSL)访问URL返回注销状态信息其他的用法由浏览器决定,PKI中的证书,证书(certificate)，有时候简称为certPKI适用于异构环境中，所以证书的格式在所使用的范围内必须

25、统一证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途签名证书和加密证书分开最常用的证书格式为X.509 v3,X.509证书格式,版本1、2、3序列号在CA内部唯一签名算法标识符指该证书中的签名算法签发人名字CA的名字有效时间起始和终止时间个体名字,X.509证书格式(续),个体的公钥信息算法参数密钥签发人唯一标识符个体唯一标识符扩展域签名,X.509证书示意图,CA(Certificate Authority),职责接受用户的请求(由RA负责对用户的身份信息进行验证)用自己的私钥签发证书提供证书

26、查询接受证书注销请求提供证书注销表各个组件和功能示意图,密钥备份和恢复,进一步授权(#可定制),授权恢复密钥,加密密钥的历史,新的签名密钥对和证书,Password?,Help!,CA密钥更新,保证透明性,Sep1998,Oct1998,Nov1998,Dec1998,Jan1999,Feb1999,Mar1999,Apr1999,May1999,Jun1999,Jul1999,Aug1999,CA密钥历史保证对于最终用户和其他的PKI是透明的,新的CA签名密钥对,CA信任关系,当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？信任难以度量，总是与风险联系在一起可信CA如果一个个

27、体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA信任模型基于层次结构的信任模型交叉认证以用户为中心的信任模型,CA层次结构,对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成它可以建立一个CA层次结构,CA层次结构的建立,根CA具有一个自签名的证书根CA依次对它下面的CA进行签名层次结构中叶子节点上的CA用于对安全个体进行签名对于个体而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的在CA的机构中，要维护这棵树在每个节点CA上，需要保存两种cert(1)Forward Certi

28、ficates:其他CA发给它的certs(2)Reverse Certificates:它发给其他CA的certs,层次结构CA中证书的验证,假设个体A看到B的一个证书B的证书中含有签发该证书的CA的信息沿着层次树往上找，可以构成一条证书链，直到根证书验证过程：沿相反的方向，从根证书开始，依次往下验证每一个证书中的签名。其中，根证书是自签名的，用它自己的公钥进行验证一直到验证B的证书中的签名如果所有的签名验证都通过，则A可以确定所有的证书都是正确的，如果他信任根CA，则他可以相信B的证书和公钥问题：证书链如何获得？,证书链的验证示例,交叉认证,两个不同的CA层次结构之间可以建立信任关系单向交

29、叉认证一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书双向交叉认证交叉认证可以分为域内交叉认证(同一个层次结构内部)域间交叉认证(不同的层次结构之间)交叉认证的约束名字约束路径长度约束策略约束,以用户为中心的信任模型,对于每一个用户而言，应该建立各种信任关系，这种信任关系可以被扩展例子：用户的浏览器配置,以用户为中心的信任模型示例：PGP,与PKI有关的标准情况,Certificates X.509 v.3交叉认证 PKIX group in IETF(RFC 2459)智能卡/硬件插件 PKCS#11PKCS系列目录服务LDAP,PKCS系列标准,PKCS#1RSA En

30、cryption StandardPKCS#3Diffie-Hellman Key-Agreement StandardPKCS#5Password-Based Encryption StandardPKCS#6Extended-Certificate Syntax StandardPKCS#7Cryptographic Message Syntax StandardPKCS#8Private-Key Information Syntax Standard,PKCS系列标准(续),PKCS#9Selected Attribute TypesPKCS#10Certification Reques

31、t Syntax StandardPKCS#11Cryptographic Token Interface StandardPKCS#12Personal Information Exchange StandardPKCS#13Elliptic Curve Cryptography StandardPKCS#15Cryptographic Token Information Format Standard,客户通过Web申请一个证书,PKCS#10,CA处理证书请求,PKCS#7,PKI应用,基本的应用文件保护E-mailWeb应用其他VPNSSL/TLSXML/e-businessWAP,P

32、KI实现的选择,建立自己的PKI购买一个PKI从第三方购买PKI服务等待一个政府PKIPKI和应用联合开发，相互协作,Windows 2000中的PKI,Windows 2000中的安全模块示意图,Windows 2000中的证书存储区,Windows 2000中，获得密钥对和证书,参考资料,书William Stallings,Cryptography and network security:principles and practice,Second Edition冯登国，计算机通信网络安全，清华大学出版社，2001David Chappell,Understanding Microso

33、ft Windows 2000 Distributed Services,中文版(清华大学出版社，潘爱民译),2001文章RFC 2401,Security Architecture for the Internet Protocol RFC 2402,IP Authentication Header RFC 2406,IP Encapsulating Security Payload(ESP)RFC 2408,Internet Security Association and Key Management Protocol(ISAKMP)RFC 2409,The Internet Key Exchange(IKE)Web站点RSA公司，http:/,